随着全球信息技术的快速发展与金融行业IT信息化的不断深入,信息科技在金融系统中的应用越来越广,金融机构对信息系统的依赖程度也越来越大,与此同时,金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。在国内的各种信息安全案件中,内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力,金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高,为此国家相关主管部门也在积极促进信息科技审计工作的推进,意在促进国内金融体系建立起信息安全技术保障机制,以防止金融系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,要求中央企业加强内控,降低企业风险,并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。同年,银监会对国内商业银行也提出了强化内部控制与审计的要求,要求不仅仅要加强安全建设,同时也要对IT系统的相关操作进行全面采集和审计。此外,萨班斯法案404条款的相关实施细则要求公众公司必须确保与财务相关的IT系统的安全性和可审计性,这对于在美上市的国内企业又提出了要求。这些政策的相继出台为国内金融机构实施信息安全IT综合审计工作提供了指导与要求。
由于金融行业的特殊性,交易过程中涉及到用户账户、密码、账户、金钱等敏感信息,因此,对金融交易系统的信息安全要求尤其严格。随着网络技术的日新月异的迅猛发展,网络应用安全要求也逐渐提升,传统的用户+密码、对称加密等技术已经无法再满足当今应用系统的要求。
对金融行业应用系统使用基于PKI技术的电子认证服务,可很好的解决以下几个网络安全问题:
钓鱼网站:非法分子使用极其相似的网站地址和界面,骗取用户登录账户和密码等信息,并进行非法操作,从而损害用户的利益
身份认证:可对金融机构系统和用户的身份进行双方认证,保证交易双方的身份准确可靠,建立起互信的交易通道。
法律保护:使用第三方提供的有效电子认证服务,可以得到法律的认可。
数据传输的保密性:非法分子利用互联网的开放性,在交易过程中窃取数据信息包,并通过暴力破解等方法对数据包进行解密,从而得到用户的重要信息。
数据传输的完整性:非法分子可将在传输过程中窃取的交易数据包内容进行篡改,并将已篡改的数据包继续发往应用系统,从而伪造交易操作。